From 82c3e922ff633b893299c3c23746dcf939735c04 Mon Sep 17 00:00:00 2001 From: mether049 Date: Tue, 7 Apr 2020 12:05:33 +0900 Subject: [PATCH] Update detecting_ph_process.md --- detecting_ph_process.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/detecting_ph_process.md b/detecting_ph_process.md index fbdf647..48e776b 100644 --- a/detecting_ph_process.md +++ b/detecting_ph_process.md @@ -182,7 +182,7 @@ PS> .\VBoxManage.exe startvm "guest name or uuid" #起動 ``` 2. VboxManageでメモリダンプ(VirtualBox ELF64 core dump)を取得する ``` -PS> .\VBoxMnage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp +PS> .\VBoxManage.exe debugvm "guest name or uuid" dumpvmcore --filename output.dmp ``` 3. 最新のVolatilityを[こちら](https://github.com/volatilityfoundation/volatility)からダウンロードする 4. 考え方はEQLのときと同じで,プロセスツリーから親子関係が不自然なプロセスを確認する(今回は,Trickbotなのでsvchost.exeでgrepしている)